正文

‍

‍ 2022

2018 年 5 月，回想在华政礼堂听台上 Helen 教授讨论场景一致性理论（ the theory of contextual integrity ），恍若隔世。好的论文值得反复读，而隐私设计从了解场景一致性理论开始。

一、什么是场景一致性理论？

海伦 · 尼森鲍姆教授在她的论文《 何为场景？ —— 隐私场景理论中场景概念之解析 》中指出，场景一致性理论要求信息实践符合信息规范。当信息实践破坏既有的或规范的信息流通，导致人们的隐私期待落空，就违反了场景一致性。引发人们隐私担忧的根源并非数据失去可控性或者保密性，而是信息实践的不合理性。换句话说，真正影响人们隐私感受的是技术、系统和实践中那些不合理的个人信息处理行为。所谓不合理的信息处理，是指违反特定场景下信息规范的处理行为。而特定场景中的信息规范是不同社会场景中一般规范的集合。

场景一致性理论构建了一个理论模型，其中信息规范由三个要件构成：信息类型、参与主体、传输原则。例如，信息从一方传输给另一方 是否合理的判断 是依据这三个要件所做出，也即：信息类型是什么、信息与谁相关、由谁传输给谁、信息传输的条件或限制是什么。可以说，信息处理规范与场景密切相关，在不同的社会模式下，三要件根据不同的社会场景相互间发生作用，因而信息实践或者说个人数据处理所需要遵循的规范也不同。

二、如何确定信息处理规范？

信息处理规范与场景密切相关，而个人的隐私偏好和隐私期望也在某种程度上塑造了在特定场景下的信息处理规范。与场景相关的信息处理规范或者隐私规范可以被划入法律、规则或程序中，但更多的规范经常隐含在社会惯例、道德价值和人们对隐私的期望中。

Murky Marx 教授认为，侵犯隐私总是可以归结到对以下一个或多个边界的破坏：

• 自然边界，如墙壁、封闭的门、衣服、密封的信封和加密，通过限制他人的观察来保护信息；
• 社会边界，是关于保密和尊重个人隐私的社会规范的假设或期望，如与医生、律师的保密关系；个人信件的完整性和保密性；对同事、朋友和家人的信任，不随意翻阅他人的个人物品；或假设信息的保留时间不超过要求或用于其他目的；
• 空间或时间的边界，如物理距离或时间的流逝，将个人生活的不同时期或不同方面的信息分开；
• 短暂或过渡性的边界是基于这样的假设：某些互动或交流只存在于当下，而不会被永久记录。

• 
  

海伦 · 尼森鲍姆教授认为，在边界清晰的社会环境中（比如法院、证券交易所、医院等），大部分信息实践都由信息规则所规范，尤其是对于涉及个人数据的处理规则。但以上这些边界都因技术的进步而日益被削弱。例如智能设备的应用、社交媒体的渗透，都削弱了隐私边界的可靠性。最后，只有小部分信息流通可能有明确的流通规则所规制，在大部分实际的社会场景中，比如账物中心、饭馆等非正式的无序的社会生活中，很多基于社会文化背景和道德准则，人们遵守的信息规范因场景而异。

面对网络化的公众和社交媒体，社会、空间和时间的边界被打破。一方面，新兴的数字技术颠覆性地破坏了传统的信息流通方式，对既有的信息规范发出挑战，造成个人隐私的焦虑和担忧。另一方面，许多创新性的技术并没有违反了既有的流通规则，而他们创造出原先不可能实现（甚至是无法想象的）的信息流通模式，可能暴露出新的隐私问题，而此时需要创造出新的、相对于场景合理的信息规范。

另外，在不同场景下的隐私偏好和隐私期待不同，信息规范也会受到影响。个人认为什么样的个人信息适合分享，是根据环境因素而变化的，例如信息的性质或来源，基于何种活动或交易，以及涉及的人，亲疏远近。我们可能会在下班后比在工作中向同事透露更多的个人生活，会根据所在的地方和周围的人调整与朋友的谈话方式和内容。同时，尽管我们知道其他人可能会听到谈话，我们也可能会在公共场所讨论敏感话题。同样，作为闲谈的一部分，我们可能会向飞机上的陌生人、出租车司机或理发师透露个人私密的信息。个人隐私偏好需要高度的 context ，或者说双标，同一个人在某些情况下可以对隐私问题视而不见，但在其他情况下却对隐私问题非常关注。

这是因为，人们在特定场景下的隐私偏好总会受到外部变化的影响，如社会环境，应用界面交互设计、促销活动或者无法改变外部环境的现实，以及内部变化，如不断变化的隐私态度、偏好以及个人经验或新知识的习得。在《 非理性个人的同意 》文章中提到人类的有限理性，人们往往无法作出理性选择。最终人们管理个人数据和隐私，例如，是否披露个人信息或者是否同意某项数据处理的决定，是一个连续和动态的边界调节过程。

三、基于场景一致性理论的隐私设计

场景一致性理论可用于分析判断数据处理的合理性，方法是确定场景因素、与之相关的信息规范以及实际做法是否遵守这些规范或违反这些规范。海伦 · 尼森鲍姆教授从理论层面出发，在利益和价值层面考量三个维度： 第一个维度，需要研究新型的信息处理如何影响重要群体的利益：可能带来的好处、需消耗的成本及可能遭受的风险；第二个维度，则应考虑这种转换是否是公平公正的；第三个维度，更进一步，需要考虑具体场景的价值及目的。在具体场景下，信息流通的模式可能支持个人自由价值，也可能完全相反地支持安全价值。在某些时候，自由价值会胜出，也有时候安全价值会优先，这取决于具体的场景和基于何种目标和价值考量。

在涉及隐私法律、隐私政策和隐私设计的落地方面，组织内的隐私专业人员需要认识场景中的参与主体、场景功能和信息类型至关重要，完成隐私规范的识别，甚至是制定。

请到「今天看啥」查看全文